インシデント対応（レスポンス）

インシデント対応（レスポンス）とは、マルウェア感染やサイバー攻撃被害、従業員による情報の持ち出し、設定ミスによる情報漏洩といった情報セキュリティインシデントが発生した際および発生した後に行う一連の対応のことを指します。インシデント対応の目的は、発生してしまったインシデントによる影響や被害を最小限に抑えることです。

一般的なインシデント対応の流れは、大まかにいうと以下のようになります。平時のうちにあらかじめ具体的な対応計画およびマニュアルを整備し、CSIRTを立ち上げるなど対応体制を構築しておき、インシデント発生に備えることが重要です。

①検知・分析

• セキュリティ機器/システムやSOCチームなどによる異常の検知
• 外部から報告を受けて「認知（検知）」するパターンも
• 発生事象に応じた組織内外との連携（システム運用の委託先や専門ベンダーを含む）
• インシデントのトリアージ（影響分析・対応優先度の判断）

②初動対応・封じ込め

• 内外の関係者への連絡
• システム停止やネットワーク遮断など、被害極小化のための暫定対応（初動対応）の実施
• フォレンジック調査の実施

③根絶・復旧

• 恒久対応の実施と、サービスやシステムの復旧

④事後対応

• インシデント対応の評価と改善
• 再発防止策の検討/実施
• セキュリティ対策の改善・強化
• 証拠の保管

※詳しいインシデント対応の実施事項やCSIRTの構築に関しては、以下の記事もご覧ください：

「インシデント対応の4ステップとは？初動から事後までのフローをわかりやすく解説！」